2017

Hardsoftsecurity.es

David

[HARDENING DE NUESTRO
CENTRO DE DATOS]
En este documento voy a explicar métodos y servicios para hacer más segura nuestra red. Voy
a enseñar como instalar e implementar IDS, monitor de red y de equipos, VPN y servicios de
copia de seguridad automatizados.
Contenido
1. INTRODUCCIÓN............................................................................................................ 3
2. JUSTIFICACIÓN ............................................................................................................. 4
3. ¿QUÉ ES EL HARDENING? ............................................................................................. 5
4. MONITORIZACIÓN DE LA RED ....................................................................................... 6
5. AUDITORÍAS DE SEGURIDAD ......................................................................................... 7
6. ¿QUÉ ES UN SISTEMA DE DETECCIÓN DE INTRUSIONES? ................................................ 8
7. ¿QUÉ ES UNA VPN? ...................................................................................................... 9
8. POSIBLES ALTERNATIVAS PARA EL HARDENING........................................................... 10
9. SOLUCIONES ELEGIDAS ............................................................................................... 11
a. GRAPH MIKROTIK: .................................................................................................. 11
b. NETFLOW Y MIKROTIK: ........................................................................................... 11
c. PANDORAFMS: ....................................................................................................... 11
d. SNORT:................................................................................................................... 11
e. VPN MIKROTIK: ...................................................................................................... 11
f. APACHE GUACAMOLE ............................................................................................. 11
g. RSYNC: ................................................................................................................... 12
h. FBACKUP: ............................................................................................................... 12
i. HARDENING DE SISTEMAS: ..................................................................................... 12
j. FAIL2BAN: .............................................................................................................. 12
k. DDoSDEFLATE: ........................................................................................................ 12
10. VENTAJAS Y DESVENTAJAS ......................................................................................... 13
a. GRAPHS MIKROTIK ................................................................................................. 13
b. NETFLOW Y MIKROTIK ............................................................................................ 13
c. PANDORAFMS ........................................................................................................ 13
d. FAIL2BAN ............................................................................................................... 13
e. DDOSDEFLATE ........................................................................................................ 13
f. SNORT.................................................................................................................... 14
g. VPN MIKROTIK ....................................................................................................... 14
h. APACHE GUACAMOLE ............................................................................................. 14
i. RSYNC .................................................................................................................... 14
j. FBACKUP ................................................................................................................ 14
11. DIAGRAMA DE RED .................................................................................................... 15
12. IMPLEMENTACIÓN DE VPN ......................................................................................... 16

Hardsoft Security Página 1

 a. CONFIGURACIÓN BÁSICA MIKROTIK........................................................................ 16
b. CONFIGURACIÓN DE RED LOCAL CPD ...................................................................... 18
c. CONFIGURAR VPN ROAD WARRIOR L2TP/IPSEC ...................................................... 21
d. VPN SITE TO SITE MIKROTIK .................................................................................... 26
13. INSTALACIÓN PANDORAFMS ...................................................................................... 29
14. INSTALACIÓN NETFLOW SOBRE MIKROTIK .................................................................. 33
15. INSTALACIÓN APACHE GUACAMOLE ........................................................................... 37
16. INSTALACIÓN DE SNORT Y SNORBY............................................................................. 39
17. GRAPHS DE MIKROTIK ................................................................................................ 48
18. INSTALACIÓN FAIL2BAN ............................................................................................. 49
19. DDOSDEFLATE ............................................................................................................ 51
20. FORTIFICACIÓN DE ENTORNO LAMP ........................................................................... 55
a. MYSQL ................................................................................................................... 55
b. PHP ........................................................................................................................ 56
c. APACHE .................................................................................................................. 56
21. AUDITORÍAS DE SEGURIDAD ....................................................................................... 57
22. MEJORAS ................................................................................................................... 57
23. CONCLUSIÓN ............................................................................................................. 58
24. FUENTES .................................................................................................................... 58

Hardsoft Security Página 2

 1. INTRODUCCIÓN

El objetivo de este proyecto se basa en implementar servicios de monitoreo y anti-intrusiones

en nuestro sistema, tanto para nuestra red como para nuestros servidores Linux y Windows.
Todo el sistema que se va a implementar es de software libre, esto reduce los costes.

Cualquier empresa que tenga un centro de procesamiento de datos o una red corporativa que
desea monitorizar su red y hacerla lo más segura posible, podrá implementar este conjunto de
herramientas sin coste de licencias ni nada.

En este documento se explicarán los conceptos y pasos que se deberán dar para poder tener
una red monitorizada y con alta seguridad, esto que quiere decir, que se abarcará desde las
contraseñas de los equipos, la cual deberá tener una política que se tiene que cumplir a la hora
de introducirlas, hasta el tráfico que se genera de entrada contra nuestra red, este último paso
es muy importante ya que se identifica de donde y a donde se dirige todo el tráfico de nuestra
red, también se desplegará un IDS para identificar este tráfico a nivel de paquete, así
diferenciar todos los paquetes que entran en nuestra red e identificando posibles ataques,
escaneo de puertos e incluso ataques de denegación de servicio.

Respecto a los servidores los cuales vamos a proteger, vamos abarcar una gran cantidad de
S.O, como pueden ser sistemas operativos de Windows y también sistemas operativos basados
en Linux. Esto que quiere decir, que vamos a implementar un endurecimiento de la red que
abarque cualquier estructura o sistema operativo que tengamos desplegado en nuestra red
profesional.

Hoy día un centro de datos se compone de un sistema de virtualización desplegado en una

serie de servidores los cuales forman un cluster con los mismos, esto quiere decir que en estos
sistemas de virtualización podemos encontrar cualquier sistema operativo, lo cual es muy
importante tener monitorizado y protegido con las respectivas políticas, ya sean S.O basados
en Windows o Linux.

Si se desea implementar los métodos y herramientas que se enseñaran en este documento es

muy importante llegar crear fases de despliegue, ya sea desde una red montada desde cero o
implementándola a una red ya en producción.

Una vez montado todo el sistema de endurecimiento y monitorización de todos los sistemas lo
que se intentará conseguir es tenerlo todo monitorizado, es decir todo con alertas por sms,
correo electrónico o la que creamos conveniente y todo esto mostrado en una pantalla a
tiempo real.

Hardsoft Security Página 3

 2. JUSTIFICACIÓN

Gracias a mi periodo de prácticas, he llegado a comprender lo importante que es desplegar un

sistema de seguridad en nuestras redes corporativas, siendo aún más importante si somos una
empresa que brinda servicios a través de internet, ya que este tipo de empresas suelen estar
más expuestas a los “ciberdelincuentes”.

Gracias al Instituto Nacional de Ciberseguridad (Incibe), podemos llegar a encontrar datos

alarmantes respecto a “ciberataques” realizados a empresas en una envergadura
increíblemente grande, la cual estos ataques le han costado millones de euros a estas
empresas.

Según el Instituto Nacional de Ciberseguridad, en el año 2016 se registró un 130% más de

ataques a empresas y particulares, respecto al año 2015, donde las cifras de 2015 eran de
50.000 ataques registrados y 115.000 los ataques registrados en el año 2016. Revisando estos
datos, también tenemos que tener en cuenta todos aquellos ataques que no han sido
registrados y que sigues siendo anónimos. El principal problema de que estos ataques sigan
siendo anónimos es debido a que las empresas que han sufrido dicho ataque deciden no
denunciarlo, debido al desprestigio de su marca.

La mayoría de ataques se realizan desde servidores alojados en países extranjeros,

principalmente procedentes de países como China, Rusia y Ucrania, la motivación des estos
“ciberdelincuentes” es completamente económica, es decir hoy día solo hay algo mucho más
caro que el mismísimo oro, y es la información.

Hoy día nos encontramos en la era de la información y estamos en un tiempo donde la

información de una empresa es muy valiosa, esta información siempre es buscada por los
“ciberdelincuentes”, los cuales si consiguen entrar en nuestra red corporativa, llegando a
conseguir datos de una base de datos o robando las credenciales de un administrador,
podemos presuponer lo peor.

Normalmente si un “ciberdelincuente” llegase a obtener nuestros datos corporativos, podría

hacer lo que quisiese con ellos, desde venderlos en el mercado negro e incluso venderlos a la
competencia. Otro caso que se podría dar es que se utilizase nuestra red corporativa para
realizar otro ataque remoto hacia otra red e incluso montar un nodo tor en nuestros
servidores.

Este punto lo dedico a la justificación de porque se debe de implementar un sistema de

seguridad en cualquier red, una vez leído esto, creo que es suficiente justificación para
implementar las últimas tecnologías en seguridad informática.

Hardsoft Security Página 4

 3. ¿QUÉ ES EL HARDENING?

Hardening (palabra en inglés que significa endurecimiento) en seguridad informática es el

proceso de asegurar un sistema mediante la reducción de vulnerabilidades en el mismo, esto
se logra eliminando software, servicios, usuarios, etc; innecesarios en el sistema; así como
cerrando puertos que tampoco estén en uso además de muchos otros métodos y técnicas.

Su propósito, entorpecer la labor del atacante y ganar tiempo para poder minimizar las
consecuencias de un inminente incidente de seguridad e incluso, en algunos casos, evitar que
éste se concrete en su totalidad. Una de las primeras cosas que hay que dejar en claro del
Hardening es que no necesariamente logrará forjar equipos “invulnerables”. Es importante
recordar que, según el modelo de defensa en profundidad, se conseguirá una red más segura o
no.

Como conclusión, el Hardening es una ayuda indispensable para ahorrarse bastantes dolores
de cabeza por parte de los administradores de sistemas. Entre sus ventajas, se puede contar la
disminución por incidentes de seguridad, mejoras en el rendimiento al disminuir niveles de
carga inútil en el sistema, una administración más simple y mayor rapidez en la identificación
de problemas, ya que muchas de las posibles causas de ellos quedarán descartadas en virtud
de las medidas tomadas, y finalmente la posibilidad de poder hacer un seguimiento de los
incidentes y en algunos casos identificar el origen de los mismos.

Una vez leído y entendido que es el hardening, lo que vamos a conseguir implementado todos
los métodos que explicaremos en los siguientes apartados es endurecer la red, los sistemas
operativos y los nodos de transmisión de nuestra red como podrían ser router o switchs.

Es muy importante entender que un buen hardening en nuestra red podría evitar o disminuir
el daño que podría hacer un atacante dentro de nuestra red, es decir no es lo mismo tener los
sistemas “abajo” que solo tener un único servicio aislado caído, se sufrirán perdidas
económicas, pero no serán tan brutales como perder todo nuestro centro de procesamiento
de datos.

Como se dice más arriba no intentamos tener una red completamente impenetrable, ya que
esto es imposible, ya que las redes están creadas, gestionadas por humanos y nosotros no
somos perfectos, pero siempre podemos intentar hacer más difícil que un “ciberdelincuente”
le sea más difícil llegar a penetrar nuestros sistemas o tener acceso a nuestro centro de
procesamiento de datos.

Hardsoft Security Página 5

 4. MONITORIZACIÓN DE LA RED

Como hemos comentado anteriormente uno de los aspectos más importantes dentro de la
seguridad de una red, es la monitorización de la misma, para poder reconocer ataques de
denegación de servicio u otro tipo de ataques, como podrían ser conexiones remotas que
consuman más ancho de banda de lo normal y por eso en este apartado vamos a explicar
porque se debe implementar un sistema de monitorización de la red.

Esto es muy importante en un entorno empresarial, debido a que si se da un servicio hacia

internet es muy bueno tener constancia del tráfico general e individual que está generándose
en nuestra red. Es decir si tenemos un sistema de monitorización de red general como los que
tienen incorporados los Mikrotik, estos nos podrán mostrar el tráfico generado en tiempo real
por cada una de sus interfaces en intervalos diarios, semanales, mensuales y anuales.

¿Qué vamos a poder identificar con este método?

Con este método lo que vamos a conseguir con un simple vistazo es visualizar la banda ancha
que se está consumiendo por nuestra red e interfaces, así dándonos datos reales en tiempo
real, con esto podemos controlar y limitar la banda ancha de cada interfaz a nuestro criterio.
También podemos identificar el uso de nuestros servicios, es decir en caso de tener un FTP al
cual se tiene acceso desde internet, podremos ver el tráfico general que se estaría generando
en nuestro router.

Después tenemos otro método de monitorización el cual se monitoriza la red pero

individualmente, es decir se monitoriza el tráfico generado por los equipos que tenemos
montados en la red, este método se consigue implementando un conjunto de protocolos y uso
de paquetes que se consigue implementando el servicio Netflow y en mi caso contra un
Mikrotik.

¿Qué vamos a conseguir identificar con este método?

Con este método en concreto es muy recomendable, ya que uno de los principales problemas
en un centro de procesamiento de datos, donde se virtualizan cientos de máquinas es casi
imposible a simple vista identificar que máquina está colapsando la red enviando ciertos
paquetes de red.

Con este método podemos identificar cualquier máquina que genere tráfico en la red que sea
anómalo. Cabe decir que también es una buena práctica tener ambos métodos implementados
en la misma red, ya que en el momento que en el tráfico general se detecte más ancho de
banda de lo normal podremos dirigirnos a ver el tráfico individual de cada máquina y así
localizar la máquina que esté dando problemas e identificar y solucionar el problema que lo
provoca.

Hardsoft Security Página 6

 5. AUDITORÍAS DE SEGURIDAD

Uniendo las técnicas de auditorías de seguridad y de monitorización de redes, llegaremos a

prever posibles vectores de ataque que podrían tomar los ciberdelincuentes y en estos casos
encontrar patrones de ataque en la monitorización de la red.

¿En qué consiste una auditoría de seguridad?

Una auditoria de seguridad o penetración de sistema, se basa en seguir una metodología para
buscar puntos débiles en nuestra red y sistemas que se encuentran alojados en nuestro centro
de procesamiento de datos.

A día de hoy la principal metodología que se utiliza para intentos de penetración de sistemas
se basa en recogida de información de internet, información física la cual nos proporciona
escaneado los servicios accesibles desde internet de nuestro centro de procesamiento de
datos, interpretación de dicha información en busca de posibles vulnerabilidades e incluso
servicios configurados erróneamente, una vez localizados estos posibles puntos de entrada se
procede a la explotación de estas posibles vulnerabilidades, en caso de conseguir acceso
mediante alguna vulnerabilidad, se llega a la post-explotación, esto quiere decir que se
intentará ver hasta dónde podemos llegar explotando esta vulnerabilidad, una vez realizado y
descartado toda explotación de vulnerabilidad se genera un documento el cual se le da al
cliente, donde se especifica metodología, software, herramientas utilizadas y un reporte con
las vulnerabilidades encontradas con la solución que deberá implementar el administrador de
la red en cuestión.

Una vez entendido en que consiste una auditoría de seguridad, en mí caso el administrador de
la red, el de sistemas y el auditor de seguridad es la misma persona, la gran ventaja de esto es
que se podrán realizar auditorías de seguridad regularmente, así siempre estando a la última
respecto a la seguridad de la red, esto consiste en aplicar parches y actualizaciones a todo
software vulnerable que se encuentre.

Muy importante para un administrador de red nunca descuidar ningún objeto de la red ya que
hasta el fallo más minúsculo podría hacer que la red fuese un quebradero de cabeza para
solucionar una intrusión de un atacante.

¿Qué se consigue con esto?

Con la auditorias de seguridad te cercioras de que tienes todo el software, servicios y la red lo
más actualizada posible y con los parches de seguridad más recientes, haciendo más difícil el
acceso de un atacante a la red de nuestro centro de procesamiento de datos.

Hardsoft Security Página 7

 6. ¿QUÉ ES UN SISTEMA DE DETECCIÓN DE INTRUSIONES?

Estas herramientas son muy buenas cuando se implementan con un sistema de monitorización
de red, ya que si detectamos una subida o bajada anormal podremos comprobar el tráfico más
específico con este sistema, por eso explico cómo funciona este sistema.

Un sistema de detección de intrusiones (o IDS de sus siglas en inglés Intrusion Detection

System) es un programa de detección de accesos no autorizados a un computador o a una red.

El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del
IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta,
gracias a dichos sensores, las anomalías que pueden ser indicio de la presencia de ataques y
falsas alarmas.

El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de

red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o
comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes
malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el
contenido y su comportamiento.

Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz

de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo
de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy
poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto
donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en
la red.

Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.

Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o
entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del
mismo.

Existen dos tipos de sistemas de detección de intrusos:

HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos,
que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan
adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta
detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.

NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red.
Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

Hardsoft Security Página 8

 7. ¿QUÉ ES UNA VPN?

Como hemos comentado anteriormente, para tener conexiones remotas más seguras se ha
pensado implementar VPN’s, ya que con esto descartaremos que los atacantes vean nuestro
tráfico de red.

Una red privada virtual (RPV), en inglés: Virtual Private Network (VPN), es una tecnología de
red de computadoras que permite una extensión segura de la red de área local (LAN) sobre
una red pública o no controlada como Internet. Permite que la computadora en la red envíe y
reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la
funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza
estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas,
cifrado o la combinación de ambos métodos.

Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa
utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la
conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo
doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la
infraestructura de Internet.

La conexión VPN a través de Internet es técnicamente una unión wide area network (WAN)
entre los sitios pero al usuario le parece como si fuera un enlace privado— de allí la
designación "virtual private network".

Tipos de VPN:

VPN de acceso remoto:

Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se

conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles,
aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez
autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa.
Muchas empresas han reemplazado con esta tecnología su infraestructura dial-up (módems y
líneas telefónicas).

VPN punto a punto.

Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización.
El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía
Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se
conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente
mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a
punto tradicionales (realizados comúnmente mediante conexiones de cable físicas entre los
nodos), sobre todo en las comunicaciones internacionales. Es más común el siguiente punto,
también llamado tecnología de túnel o tunneling).

Hardsoft Security Página 9

 8. POSIBLES ALTERNATIVAS PARA EL HARDENING

Para el monitoreo de la red se han estudiado las siguientes opciones:

-GlassWire (Gratuito)

-NetFlow sobre Mikrotik (Gratuito).

- Graph de Mikrotik (Gratuito).

Para el monitoreo de las máquinas físicas:

-PandoraFMS (Gratuito).

-Nagios (Gratuito).

Opciones elegidas para IDS:

-Snort (Gratuito).

Opciones para VPN:

-VPN L2TP\IPSec Road Warrior sobre Mikrotik (Gratuito).

-VPN L2TP\IPSec Site to Site sobre Mikrotik (Gratuito).

Opciones para el control de acceso:

-Apache guacamole (gratuito).

Opciones copias de seguridad:

-rsync (Gratuito).

-Fbackup (Gratuito).

Endurecimiento de servicios.

El sistema se compondrá de un conjunto de servicios, donde cada servicio estará instalado en

un servidor, para hacer más fácil el seguimiento de nuestra red. Este sistema se compone de
Snort para el monitoreo de la red, PandoraFMS para monitorizar los equipos, VPN road warrior
para el acceso remoto, VPN punto a punto para unir dos redes entre sí, copias de seguridad
automáticas, actualizaciones automáticas, monitoreo de la red WAN mediante graph de
Mikrotik, Mikrotik con Netflow para monitorizar tráfico de los equipos, redundancia con VRRP,
multiples scripts y políticas para la seguridad de los equipos.

Con este conjunto de herramientas lo que vamos a conseguir es un control de la red casi
completo y en conjunto tendremos un centro de procesamiento de datos asegurado
decentemente.

Hardsoft Security Página 10

 9. SOLUCIONES ELEGIDAS

Para satisfacer las necesidades de nuestra red, respecto a la seguridad de la misma, es decir
cubrir la monitorización de la red, sistema IDS, monitorización de sistemas, conexiones
remotas seguras y el endurecimiento de servicios se ha optado por las siguientes
herramientas, ya que implementando todas estas entre sí, se llega a tener una red muy sólida:

a. GRAPH MIKROTIK: Herramienta incorporada en RouterOS el sistema

operativo incorporado con los routers Mikrotik, esta herramienta lo que hace
es registrar todo el tráfico que entra y sale de todas las interfaces de red del
nuestro router mikrotik, posteriormente el propio router Mikrotik, habilitando
una interfaz web en la propia configuración del Mikrotik, este nos mostrará
todo el tráfico generado mediante gráficas muy detalladas de todo el tráfico
que pasen por las interfaces.
b. NETFLOW Y MIKROTIK: NetFlow es un protocolo de red desarrollado
por Cisco Systems para recolectar información sobre tráfico IP. Netflow se ha
convertido en un estándar de la industria para monitorización de tráfico de
red, y actualmente está soportado para varias plataformas e implementando
este protocolo con un router mikrotik conseguimos una monitorización
completa e individual de todos los equipos.
c. PANDORAFMS: Pandora FMS es un software de monitorización para
gestión de infraestructura TI. Esto incluye equipamiento de red, servidores
Windows y Unix, infraestructura virtualizada y todo tipo de aplicaciones.
Pandora FMS tiene multitud de funcionalidades, lo cual lo convierte en un
software de nueva generación que cubre todos los aspectos de monitorización
necesarios en una red corporativa.
d. SNORT: Snort es un sniffer de paquetes y un detector de intrusos basado en
red (se monitoriza todo un dominio de colisión). Es un software muy flexible
que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos
de texto como en bases de datos abiertas como lo es MySQL. Implementa un
motor de detección de ataques y escaneo de puertos que permite registrar,
alertar y responder ante cualquier anomalía previamente definida. Así mismo
existen herramientas de terceros para mostrar informes en tiempo real (ACID)
o para convertirlo en un Sistema Detector y Preventor de Intrusos (IDS).
e. VPN MIKROTIK: Se ha utilizado las opciones de creación de VPN que nos
brinda RouterOS, tanto para VPN Road Warrior como para VPN site to site.
f. APACHE GUACAMOLE: Apache guacamole es un servicio que nos
permite gestionar cualquier conexión remota como ssh, RDP, VNC o cualquier
otro tipo de protocolo de conexión remota mediante un navegador y cuentas
de usuario, así gestionando mucho mejor las conexiones y controlando de
mejor manera quien se conecta y cuánto tiempo se mantienen en la sesión,
llevando un control de acceso muy alto y restringido.

Hardsoft Security Página 11

 g. RSYNC: rsync es una aplicación libre para sistemas de tipo Unix y Microsoft
Windows que ofrece transmisión eficiente de datos incrementales, que opera
también con datos comprimidos y cifrados. Mediante una técnica de delta
encoding, permite sincronizar archivos y directorios entre dos máquinas de
una red o entre dos ubicaciones en una misma máquina, minimizando el
volumen de datos transferidos. Una característica importante de rsync no
encontrada en la mayoría de programas o protocolos es que la copia toma
lugar con sólo una transmisión en cada dirección. Rsync puede copiar o
mostrar directorios contenidos y copia de archivos, opcionalmente usando
compresión y recursión.
h. FBACKUP: Fbackup es un software gratuito que nos permite realizar copias
de seguridad de los archivos de sistemas operativos basados en Windows, esta
herramienta tiene un potencial bastante bueno y es de uso gratuito como
comercial y personal.
i. HARDENING DE SISTEMAS: Lo que se procederá en este punto es
realizar el endurecimiento de los servicios, es decir por ejemplo los servicios
más utilizados que serían mysql, apache, php, etc. En este punto consistirá en
endurecer estos servicios para hacer la tarea de los ciberdelincuentes más
difícil a la hora de encontrar una vulnerabilidad o una mala configuración de
los servicios.
j. FAIL2BAN: Fail2ban es una herramienta que observa los intentos de login
de variados servicios, tales como SSH, FTP, SMTP, HTTP, entre otros; y si
encuentra intentos de login fallidos una y otra vez desde una misma IP,
fail2ban rechazará estos intentos de login bloqueando con reglas de iptables a
esas IPs que estaban intentando.
k. DDoSDEFLATE: Es un script diseñado en Shell script que nos permite
mitigar ataques de denegación de servicio, lo que hace este script es
comprobar las conexiones existentes, para posteriormente comprobar si
existen irregularidades en las conexiones, es decir si alguna conexión excede el
límite de conexiones establecido en el script, en caso de exceder este límite
DDoSDeflate se encargara de bloquear la dirección IP de la que proviene el
ataque mediante iptables.

Gracias a estas herramientas conseguiremos una red más segura donde podremos tener un
monitor con todas las herramientas de monitorización, es decir graphs, pandorafms, pnrg de
netflow y snort, todas estas herramientas funcionan a tiempo real, también fail2ban y
ddosdeflate, que bloquearan intentos de login y ataques de denegación de servicio.

Y gracias a apache guacamole podremos tener conexión de acceso remoto seguro, también
hay que decir que gracias a el endurecimiento de los servicios tendremos menos problemas
respecto a malas configuraciones respecto a ellos y por último pero no menos importante
tenemos las copias de seguridad de nuestras máquinas y datos que se realizaran con rsync y
fbackup.

Hardsoft Security Página 12

 10. VENTAJAS Y DESVENTAJAS

a. GRAPHS MIKROTIK
VENTAJAS DESVENTAJAS
Fácil configuración Información genérica
Información del tráfico rápida Para entender la información hace falta tener
experiencia
Información fiable A veces los gráficos generados se pierden si el
router se reinicia.o se apaga
Información dividida en tiempo Los gráficos suelen ser liosos.
Información en tiempo real

b. NETFLOW Y MIKROTIK
VENTAJAS
Información fiable
Información individual de cada equipo
Auto descubrimiento de la red
Interfaz web clara y legible
Según la velocidad de la red, se representa en
una unidad de velocidad
Información dividida en tiempo
DESVENTAJAS
Complicado de implementar por primera vez
Es una aplicación cliente servidor
Hay que activar configuraciones en mikrotik
Si no se tiene ningún conocimiento no se
podría implementar.
Las gráficas de entrada y salida de
información tendrían que separarlas.
Si no se tiene experiencia no se entedará

c. PANDORAFMS
VENTAJAS
Fácil de implementar.
Sistema operativo óptimo para pandora
Monitorización de cualquier hardware
Monitorización de cualquier S.O
Personalizar módulos de monitorización
DESVENTAJAS
Hay que tener un conocimiento previo
No es fácil de configurar las alertas
No es fácil de configurar la monitorización de
algunos equipos
El intervalo de monitorización óptimo es de 5
minutos
Interfaz web no tiene por defecto el refresco
del panel.

d. FAIL2BAN
VENTAJAS DESVENTAJAS
Fácil de implementar No es multiplataforma
Bloqueo efectivo A veces bloquea ips amigables

e. DDOSDEFLATE
VENTAJAS DESVENTAJAS
Fácil de implementar No es multiplataforma
Bloqueo efectivo

Hardsoft Security Página 13


VENTAJAS
Fácil combinación con una interfaz web.
Interfaz web snorby muy agradable
Información muy fiable
Configuración de reglas de control de tráfico
Información a tiempo real
Información fácil de interpretar
f. SNORT
DESVENTAJAS
Complejo de desplegar
A veces una vez desplegado no funciona bien
Hay que tenerlo debidamente configurado
para su óptimo funcionamiento

g. VPN MIKROTIK
VENTAJAS DESVENTAJAS
Fácil de implementar Sin previo conocimiento es difícil de
implementar
Fácil de usar Hace falta tener conocimientos de redes para
el enrutamiento
Log de mikrotik para llevar un orden de
conexiones
Creación de cuentas para llevar el control
Se puede combinar con certificados para su
conexión
Desde cualquier sistema operativo se puede
conectar

h. APACHE GUACAMOLE
VENTAJAS DESVENTAJAS
Fácil de instalar
Fácil de gestionar
Web muy amigable
Fácil de gestionar conexiones remotas

i. RSYNC
VENTAJAS DESVENTAJAS
Fácil de usar No es multiplataforma
Facilidad de hacer copias de seguridad Solo para linux
Uso gratuito Para automatizarlo hay que hacer una tarea

j. FBACKUP
VENTAJAS DESVENTAJAS
Fácil de usar No es multiplataforma
Interfaz agradable Solo para windows
Copias de seguridad faciles

Hardsoft Security Página 14

 11. DIAGRAMA DE RED

A continuación se muestra un diagrama de red definiendo como se encuentra actualmente la

red:

Como podemos ver tenemos 1 router, que se conecta a dos switches y de estos se conectan a
los servidores, así creando redundancia en la conectividad de los servidores. Como podemos
identificar tenemos un punto de fallo, este punto se hablará en las mejoras de la red más
adelante. La conexión de estos equipos es muy simple, se debe de etiquetar todo el cableado
como en la siguiente imagen y dejar la red física lo más organizada posible:

Hardsoft Security Página 15

 12. IMPLEMENTACIÓN DE VPN

Los primeros pasos que vamos a realizar son las configuraciones básicas de nuestro mikrotik.

a. CONFIGURACIÓN BÁSICA MIKROTIK

Para la configuración básica de los routers mikrotik vamos a utilizar la herramienta de
configuración gráfica que nos ofrece mikrotik llamada “Winbox”, donde se puede descargar
en: https://download2.mikrotik.com/routeros/winbox/3.11/winbox.exe

Una vez descargada la aplicación la ejecutamos para poder conectarnos a nuestro router:

Al ejecutar la aplicación se nos abrirá un interfaz gráfica donde tendremos que poner la
dirección ip de nuestro router mikrotik, por defecto vienen sin contraseña y con la dirección
192.168.88.1 por defecto:

Hardsoft Security Página 16

Tras conectarnos a el router mikrotik se nos presentará una interfaz gráfica donde tendremos
todas las opciones necesarias para poder configurar todo lo necesario respecto a nuestra red.

Hardsoft Security Página 17

 b. CONFIGURACIÓN DE RED LOCAL CPD
Lo primero que vamos a configurar en el ROUTER 1 del CPD que será uno de los routerboard
de la empresa, será la dirección IP y el DHCP hacia la red local, comenzamos con la dirección de
la red interna del ROUTER 1:

Nos dirigimos a IP  Addresses:

Nos aparecerá una ventana donde podremos añadir la dirección IP de nuestra interfaz:

Tras darle en la interfaz a añadir, nos saldrá una ventana donde podremos configurar la
interfaz:

Hardsoft Security Página 18

El siguiente paso es establecer el servicio de DHCP, para esto nos dirigiremos a:

Una vez dentro de la interfaz de configuración pulsaremos en DHCP Setup:

Una vez pulsado en DHCP Setup, se nos abrirá un asistente de configuración para configurar
nuestro DHCP:

La primera opción se nos pide donde estará a la escucha nuestro servidor DHCP:

Hardsoft Security Página 19

El siguiente paso se nos pide la dirección de IP de la red:

Lo siguiente es determinar la puerta de enlace que irá por defecto en las peticiones DHCP:

El siguiente paso determinamos el rango de direcciones IP DHCP:

Seleccionamos los DNS por defecto:

Finalmente el tiempo de cesión de las direcciones:

Hardsoft Security Página 20

Aquí vemos como ha asignado la dirección IP del DHCP:

c. CONFIGURAR VPN ROAD WARRIOR L2TP/IPSEC

He decidido optar por esta VPN debido a que en múltiples ocasiones hemos necesitado tener
acceso remoto a la red del CPD estando fuera de nuestras instalaciones, es debido a esto que
hemos elegido este método para poder conectarnos y hacer un mantenimiento o incluso llegar
hacer la configuración de algún servicio sin tener que estar en las instalaciones, sería suficiente
con tener un dispositivo capaz de conectarse a través de una VPN. A continuación se muestra
como se crearía esta VPN sobre un router Mikrotik.

Hardsoft Security Página 21

El primer paso para poder configurar una VPN road warrior es crear un pool de direcciones
para las conexiones entrantes, para esto nos iremos a:

Se nos abrirá una interfaz de configuración donde añadiremos las direcciones:

Una vez configurado quedará de la siguiente manera, se ha configurado para que reciba 9
conexiones simultáneas:

Hardsoft Security Página 22

El siguiente paso es entrar en el menú PPP, y entramos en la pestaña Profiles:

Una vez dentro de la interfaz, le damos a añadir para poder configurar la conexión PPP.

Hardsoft Security Página 23

Una vez dentro configuramos las opciones de la siguiente manera:

Hecho esto nos dirigiremos a la pestaña Secrets, aquí definimos el usuario y contraseña para la
conexión VPN:

Hardsoft Security Página 24

En la pestaña “Interface” debemos pulsar sobre “L2TP Server”, habilitarlo:

Deberá quedar de la siguiente manera:

Para proteger la información que transporta la conexión vamos hacer un encapsulamiento

sobre IPsec, para eso nos vamos a IP  IPsec y rellenamos los datos de la siguiente manera:

Hardsoft Security Página 25

El siguiente paso es ir a la pestaña “Proposals” y dejarlo de la siguiente manera:

d. VPN SITE TO SITE MIKROTIK

Esta tecnología de VPN nos permite conectar 2 redes diferentes y separadas geográficamente.
Gracias a esta característica, he elegido implementar esta VPN, ya que nos venía muy bien
tener tanto la red de la oficina como la red del CPD conectadas. Esta tecnología la vamos a
implementar en un router Mikrotik, gracias a su facilidad de implementación esta tecnología
se hace a través de una interfaz gráfica es decir a través de winbox. Esta implementación se
basa en 2 mikrotik, que cumplen las configuraciones para establecer conexión entre ellos.

Hardsoft Security Página 26

Entramos en Ip  IPSec  Peers, cuando estemos en esta pestaña lo que vamos hacer es
crear un punto:

Posteriormente tenemos que crear las políticas para la VPN:

Hardsoft Security Página 27

Tras crear las políticas se crean las conexiones automáticamente:

Después de comprobar todo esto lo que deberemos hacer es introducir las reglas del firewall
correspondientes:

Para el router 2 se debe hacer el mismo proceso pero a la inversa.

Hardsoft Security Página 28

 13. INSTALACIÓN PANDORAFMS

Como pandoraFMS lo instalaremos desde su sistema operativo, es decir es un sistema

operativo en el que ya viene instalado pandoraFMS nos resultará más sencillo, nos dirigiremos
a la página oficial de PandoraFMS y descargaremos la imagen iso, este lo grabaremos en un
dvd o bootearemos un USB para la instalación, aquí el proceso de instalación del sistema
operativo:

1.- Cuando se inicia la instalación del sistema operativo, pulsaremos en la primera opción:

2.- Elegimos español como idioma:

Hardsoft Security Página 29

3.- Configuramos las diversas opciones de la instalación:

4.- Creamos una contraseña para el usuario root y un usuario local:

Hardsoft Security Página 30

5.- Una vez finalizado el proceso de instalación reiniciamos el sistema y accedemos al S.O
seleccionando la primera opción:

6.- Cuando inicia el sistema operativo nos indica la dirección URL que debemos ingresar en el
navegador para acceder al login de PandoraFMS:

Hardsoft Security Página 31

7.- Una vez ingresada la dirección en el navegador se nos presentará lo siguiente, donde
ingresaremos con el usuario: admin y la contraseña proporcionada para el usuario root:

8.- Una vez dentro veremos la interfaz de PandoraFMS:

Hardsoft Security Página 32

 14. INSTALACIÓN NETFLOW SOBRE MIKROTIK

Lo que vamos a instalar el sistema operativo Debian en su versión 7.11, la cual instalaremos
una serie de paquetes y reglas para poder visualizar todo el tráfico de la red monitorizada
individualmente por equipos.

1.- Comenzamos por instalar el siguiente paquete:

2.- Ya que el paquete anterior instala más de un paquete que no interesa tenerlo, procedemos
a desinstalarlos:

3.- Paramos el servicio de pmacct:

4.- Renombramos el fichero nfacctd.conf para hacer una copia de seguridad del mismo:

5.- Abrimos un editor de texto para crear un nuevo fichero para remplazar al anterior:

Hardsoft Security Página 33

6.- Tras crear el fichero, el siguiente tiene que quedar así:

7.- Procedemos a editar el fichero hosts.def:

8.- Añadimos las redes que deseamos monitorizar:

9.- Tras realizar todas estas modificaciones, paramos e iniciamos el servicio nfacctd:

10.- Comprobamos que está funcionando:

Hardsoft Security Página 34

11.- Lo siguiente que debemos hacer es dirigirnos al terminal de nuestro Mikrotik e insertar las
siguientes líneas:

12.- Habilitamos la interfaz web de la siguiente manera, empezamos por crear la carpeta pnrq:

13.- Nos dirigimos a la carpeta creada:

14.- Nos descargamos el paquete necesario para la visualización a tiempo real del tráfico:

15.- Lo descomprimimos:

16.- Lo movemos:

17.- Instalamos una herramienta necesaria:

18.- Insertamos la tarea en crontab para que se refresque la información cada 5 minutos:

19.- Enlazamos el servicio pmacct para no tener que editar más ficheros:

20.- Creamos el directorio bin dentro de rrdtool:

21.- Creamos un enlace dentro de la carpeta creada anteriormente:

Hardsoft Security Página 35

22.- Enlazamos rrdcgi dentro de la carpeta anteriormente creada:

23.- Enlazamos la interfaz web dentro de la carpeta de apache:

24.- Y habilitamos el sitio web dentro de 000-default:

25.- Una vez realizado todo esto mediante un navegador web nos dirigiremos a la ip que tenga
la máquina y se nos presentará la siguiente interfaz web:

Hardsoft Security Página 36

 15. INSTALACIÓN APACHE GUACAMOLE

Procedemos a instalar apache guacamole sobre Centos7, esta herramienta como se ha

comentado anteriormente permite gestionar cualquier conexión remota a través de una
interfaz web.

1.- El primer paso para instalarlo es descargar un script desarrollado en Shell script el cual nos
instalará automáticamente la herramienta:

2.- Una vez descargado el script, le daremos permisos de ejecución:

3.- Tras darle permisos de ejecución lo iniciamos:

4.- Cuando se inicia el script nos pedirá que ingresemos usuario, contraseña para las bases de
datos:

Hardsoft Security Página 37

5.- Lo siguiente que nos aparecerá son unas preguntas para generar los certificados para tener
una conexión segura en nuestras conexiones remotas:

6.- Una vez hecho esto nos dirigimos al navegador colocando la siguiente URL,
192.168.21.73:8080/guacamole/#/ y a continuación nos saldrá lo siguiente:

Hardsoft Security Página 38

 16. INSTALACIÓN DE SNORT Y SNORBY

Vamos a implementar snort y snorby sobre debían 7.11.

1.- Comenzamos por instalar una serie de paquetes:

apt-get install git ruby ruby-dev mysql-server libmysqlclient-dev libmysql++-dev imagemagick

libmagickwand-dev wkhtmltopdf gcc g++ build-essential linux-headers-amd64 libssl-dev
libreadline-gplv2-dev zlib1g-dev libsqlite3-dev libxslt1-dev libxml2-dev –y

2.- Nos pedirá que insertemos la contraseña de MYSQL:

3.- Para instalar snorby comenzaremos por descargarnos el código:

4.- Ahora vamos a actualizar la versión de ruby, instalamos los siguientes paquetes:

5.- Nos descargamos el código de ruby para instalarlo:

6.- Descomprimimos el paquete:

7.- Preparamos el sistema para instalar ruby:

8.- Hacemos un MAKE:

Hardsoft Security Página 39

9.- Y make install:

10.- Comprobamos la versión:

11.- Instalamos las bundle dentro de la carpeta de snorby:

12.- instalamos la gema bundler:

13.- Instalamos las gemas:

Con el siguiente resultado:

14.- Renombramos el fichero database.yml.example, para ingresar los datos para la base de
datos:

15.- Editamos el fichero:

Hardsoft Security Página 40

16.- Tiene que quedar de la siguiente manera:

17.- copiamos el fichero snorby_config.yml.example:

18.- Procedemos a instalar snorby:

19.- Comprobamos que ha creado la estructura de la base de datos:

Hardsoft Security Página 41

20.- La estructura que debe de presentar es la siguiente:

21.- Ejecutamos snorby:

Hardsoft Security Página 42

22.- Se nos presenta la interfaz de snorby:

23.- Procedemos a instalar snort, comenzamos instalando unos paquetes:

24.- Insertamos el rango de ip que deseamos sniffear:

25.- Aceptamos el siguiente paso:

Hardsoft Security Página 43

26.- Aceptamos la configuración de la base de datos de snort:

27.- Continuamos el proceso:

28.- Reconfiguramos el paquete de mysql:

Hardsoft Security Página 44

29.- Elegimos el método de arranque:

30.- Elegimos la interfaz que deseamos poner en modo monitor:

31.- Volvemos a introducir el rango de red:

32.- Dejamos habilitado el modo promiscuo:

33.- Dejamos la siguiente opción en blanco:

Hardsoft Security Página 45

34.- Como vamos a ver las alertas en tiempo real no hace falta habilitar las alertas por correo:

35.- El siguiente paso le decimos que sí aunque hemos configurado ya la base de datos:

36.- Nombre del servidor de base de datos:

37.- Nombre de la tabla dentro de la base de datos:

Hardsoft Security Página 46

38.- Le decimos que usuario es el que tiene que usar:

39.- Nos pide la contraseña del usuario:

40.- Aceptamos el siguiente paso:

41.- Borramos el fichero db-pending-config, para que no nos vuelva a pedir la configuración de
la BBDD:

42.- Iniciamos snort y snorby:

43.- Una vez realizado todo nos dirigimos a un navegador y colocando la dirección ip de la
máquina snort se nos presentará la interfaz de snort:

Hardsoft Security Página 47

 17. GRAPHS DE MIKROTIK

Este servicio normalmente viene habilitado por defecto y se puede acceder mediante la
interfaz web de administración de nuestro mikrotik:

Hardsoft Security Página 48

 18. INSTALACIÓN FAIL2BAN

En esta instalación de FAIL2BAN se instalará en CentOS7:

1.- El primer paso es instalar el siguiente repositorio en nuestra máquina CentO 7:

2.- Tras instalar el repositorio y actualizarlos, procedemos a instalar Fail2ban:

3.- Habilitamos el servicio de fail2ban:

4.- Nos dirigimos al directorio /etc/fail2ban para configurar el servicio:

5.- Dejamos el fichero como en la siguiente imagen:

6.- Reiniciamos el servicio:

7.- Comprobamos que está monitorizando el servicio:

Hardsoft Security Página 49

8.- Copiamos jail.conf y lo llamamos jail.local:

9.- Editamos el fichero:

10.- Colocamos el rango de ips que deseamos ignorar:

11.- Creamos la jaula para ssh:

12.- Reiniciamos el servicio y comprobamos que este correcto:

13.- Con todo este proceso ya estará baneando direcciones ip.

Hardsoft Security Página 50

 19. DDOSDEFLATE

1.- El primer paso para instalar esta herramienta es descargarla en algún directorio:

2.- Una vez descargado el zip de instalación de la herramienta procedemos a instalar el

paquete unzip para poder descomprimirlo:

Hardsoft Security Página 51

3.- Procedemos a descomprimir el fichero zip descargado:

4.- Tras descomprimir el fichero procedemos a entrar en el y ejecutamos el script de

instalación:

5.- Una vez instalado, veremos algo por el estilo:

Hardsoft Security Página 52

6.- A continuación nos dirigiremos al fichero de configuración de la herramienta:

7.- Una vez dentro modificamos lo que está señalado en la captura sustituyendo el correo por
el vuestro y la ip por la ip que tenga asignada la máquina:

Hardsoft Security Página 53

8.- Tras haber modificado este fichero nos dirigiremos al demonio de la herramienta para
modificar lo siguiente marcado en la captura:

9.- Una vez dentro del fichero modificamos lo marcado en la captura:

10.- Después de todo esto iniciamos el servicio de DDoSReflate:

11.- Ahora vamos a realizar desde una máquina Kali Linux un ataque de denegación de servicio
con la herramienta slow loris:

12.- Una vez lanzado el ataque veremos algo parecido a lo siguiente:

Hardsoft Security Página 54

13.- Después vamos al servidor para revisar el log de baneos para ver el efecto que ha tenido
este ataque sobre el servidor, la herramienta lo que hará es bloquear esta conexión durante
600 segundos poniendo la dirección ip en la lista negra denegando todas las conexión que
vayan hacia nuestro servidor:

20. FORTIFICACIÓN DE ENTORNO LAMP

Lo que vamos hacer en esta sección es endurecer los servicios de MYSQL, PHP y APACHE.

a. MYSQL
1.- El primer paso para asegurar este servicio es establecer la directiva “bind-
address=127.0.0.1”, esto hará que la base de datos solo escuche peticiones de la propia y no
peticiones externas.

2.- Para evitar fuga de información del sistema mediante un ataque SQLi, procederemos a
modificar el fichero “/etc/mysql/my.cnf”, añadiendo los siguientes parámetros:

[mysqld]

Local-infile =0

Secure-file-priv = /dev/null

3.- Renombrar el usuario root, para hacer la labor del atacante más difícil en identificar el
usuario administrador:

Update mysql.user set user=”David” where user=”root”;

Flush privileges;

4.- Comprobar la existencia de usuarios anónimos, en caso de existir eliminarlos:

Select user usuarios, host from mysql.user where user=””;

Hardsoft Security Página 55

5.- Comprobar los permisos de los usuario y solo darles permiso para lo que vayan hacer,
nunca darles más de lo que van a usar, con el siguiente comando podréis comprobar los
permisos de vuestros usuarios:

Show grants for ‘usuario’@’localhost’;

6.- Ejecutar siempre el siguiente script de instalación ya que elimina posibles configuraciones
erróneas:

Mysql_secure_installation

b. PHP
1.- Evitar que PHP nos informe de su versión, nos dirigiremos al fichero
“/etc/php/apache2/php.ini” y modificaremos lo siguiente:

Expose_php = off

2.- Para deshabilitar la salida de errores el parámetro “display_errors debe estar como a
continuación:

Display_errors = off

3.- Limitar el rango de acción de PHP a un directorio:

Open_basedir = /var/www

4.- Evitar la ejecución de funciones, para que en caso de que un atacante subiese una Shell no
pudiese ejecutarla:

Disable_functions = phpinfo, system, exec, Shell_exec, ini_set, dl, eval

5.- Deshabilitar RFI:

Allow_url_fopen = off

Allow_url_include = off

c. APACHE
1.- Controlar el usuario y grupo de apache:

User www-data

Group www-data

2.- Deshabilitar módulos innecesarios, esto se hará con la herramienta a2dismod

3.- Deshabilitar información ofrecida por el servidor, nos dirigimos a

“/etc/apache2/conf.d/security”:

dejamos ServerTokens ProductOnly y ServerSignature Off.

Hardsoft Security Página 56

 21. AUDITORÍAS DE SEGURIDAD
Para las auditorías del estado de la red se utilizarán las siguientes herramientas:

Para el footprinting:

- CentralOps (http://centralops.net/co/) : Esta herramienta nos permite realizar un

footprint físico del servidor donde se aloja la web de la víctima.
- Extracción de metadatos con Evil Foca.
- DNSenum para sacar información del DNS.
- TheHardvester, para sacar posibles correos electrónicos.
- Nmap, para el escaneo de puertos y servicios.
- Shodan para la información pública del servidor.

Para el escaneo de vulnerabilidades:

- Nmap, para escanear vulnerabilidades.

- Nessus, para escanear vulnerabilidades.

Para la explotación de vulnerabilidades:

- Metasploit
- Exploit-db

Tras la recogida de información, escaneo de vulnerabilidades y explotación le sigue la

documentación, esta documentación se tiene que explicar toda la metodología seguida,
herramientas utilizadas y técnicas utilizadas. Por motivos de seguridad en este documento no
se mostrará el documento resultante de la auditoría de seguridad realizada.

22. MEJORAS

Tras tener en producción todas estas herramientas, se han llegado a conclusiones para
asegurar cada vez más la seguridad de la red, una de las primeras mejoras que se van a
implementar son las VLAN, posteriormente también se montara un Security Center de
Kaspersky para el control de antivirus de sistemas Windows, Linux y también para solucionar
su vulnerabilidades.

También se llevará una mejora a largo plazo que la realización de redundancia de Gateway
mediante el protocolo BGP, esta última todavía no podemos abarcarla debido a su nivel de
conocimientos necesarios, aparte de los requisitos previos que son necesarios para poder
obtener direcciones, es decir nuestro propio rango de direcciones IP dentro de “Internet”.

Tras debatir todas estas mejoras, se ha llegado a la conclusión que una vez que estén en
producción todas las mejoras, solo será necesario mantenerlas y estar al día con las últimas
tecnologías y nuevos tipos de ataque para poder implementar nuevas mejoras que puedan
evitar estos ataques.

Hardsoft Security Página 57

 23. CONCLUSIÓN

Tras estar un tiempo trabajando con todas estas herramientas me he dado cuenta que todas
se completan entre sí, es decir ninguna hace la competencia a la otra, ya que estas trabajar en
armonía, endurecen y dan seguridad a la red.

También tengo que comentar que al principio era difícil implementar todos estos servicios
bien, pero cuando está todo perfectamente colocado, todo trabaja como si fuese un reloj
suizo.

Para mí esta experiencia de poder desplegar un sistema de seguridad tan amplio me ha dado a
entender la realidad de la importancia de la seguridad dentro de las redes empresariales, ya
que si en caso de que un “ciberdelincuente” consiguiese penetrar los sistemas las perdidas en
información o en servicio serian increíbles, por eso cada día este sector de la informática está
en auge.

24. FUENTES
https://joanesmarti.com/tu-propio-ids-con-snort-y-snorby-en-linux-debian-7/

https://www.youtube.com/watch?v=EeqDKmZdtkY

https://www.youtube.com/watch?v=LGtJK9xGq-4

https://www.youtube.com/watch?v=V05WfhmCW_M&t=2s

https://www.fail2ban.org/wiki/index.php/Main_Page

https://github.com/jgmdev/ddos-deflate

y muchas más que no he podido recuperar.

Hardsoft Security Página 58